PrestaShop 9.1.1 Maintenant Disponible : Mise à Jour Critique de Sécurité

PrestaShop a officiellement publié la version 9.1.1, qui inclut un correctif de sécurité critique pour la branche 9.1. Cette mise à jour corrige une vulnérabilité de type Cross-Site Scripting (XSS) stockée, trouvée dans la vue du Service Client du back office (Identifiant : GHSA-w9f3-qc75-qgx9). Étant donné la gravité de ce problème, il est fortement recommandé à tous les utilisateurs de mettre à jour leurs installations dès que possible.

Détails de la Correction de Sécurité

La vulnérabilité a été classée comme Critique avec un score de gravité de 9.3/10 (CWE-79). Les détails techniques complets concernant le vecteur d'attaque sont documentés dans l'avis de sécurité. De plus, ce problème a également été traité dans la version PrestaShop 8.2.6, qui a été publiée simultanément.

Comment Mettre à Jour vers PrestaShop 9.1.1

Il est fortement recommandé de mettre à jour votre boutique PrestaShop vers la version 9.1.1. Vous pouvez utiliser l'Assistant de Mise à Jour pour un processus de mise à niveau sans faille. Avant de procéder à la mise à jour, assurez-vous de créer une sauvegarde complète de votre base de données et de vos fichiers.

Si vous ne pouvez pas mettre à jour immédiatement, il existe deux méthodes alternatives pour atténuer la vulnérabilité :

Option 1 : Installer le Module de Correction

Téléchargez la dernière version du module de correction pshotfix_ghsaw9f3qc75qgx9 et téléchargez le fichier ZIP via Modules > Gestionnaire de Modules > Télécharger un Module. Ce module sauvegardera automatiquement le modèle vulnérable et appliquera la correction nécessaire. Il est compatible avec les versions PrestaShop 1.7, 8.x et 9.x.

Option 2 : Appliquer la Correction Manuellement (Utilisateurs Avancés)

Pour ceux qui sont à l'aise avec le code, la correction se compose de deux parties :

Partie 1 : Échapper l'Email dans le Modèle des Discussions Clients

La vulnérabilité provient du rendu d'une valeur d'email de discussion client dans le back office sans échapper HTML. Pour corriger cela, localisez le fichier :

{YOUR_ADMIN_DIR}/themes/default/template/controllers/customer_threads/helpers/view/view.tpl

Remplacez les occurrences de {$thread->email} par :

{$thread->email|escape:'html':'UTF-8'}

Partie 2 : Renforcer la Validation des Emails dans `classes/Validate.php`

Modifiez la méthode isEmail() dans classes/Validate.php pour passer du mode 'lâche' au mode 'strict' pour la validation des emails. Ce changement aidera à rejeter les formats d'email potentiellement nuisibles avant qu'ils ne soient stockés.

Télécharger PrestaShop 9.1.1

Vous pouvez télécharger PrestaShop 9.1.1 maintenant !